시스코 연례 보안 보고서 보는 법
벌써 매년 두 차례, 시스코에서연례 보안 보고서를 발간한해온지10년이 되는 해 입니다. 보고서에는 시스코 보안 위협 분석 팀인 탈로스의 보안 인텔리전스 정보 요약과, 전세계 보안담당 임원분들로부터 조사한 설문 조사 통계가 집계 되어 있어 기업의 보안 담당자들께서 '한 해를 어떻게 대비하여야 할까?', '지난해는 잘 방어 했을까?' 하는 성찰을 돕고 전략을 준비하실 수 있도록 유의미한 정보를 제공해왔습니다. 올해는 설문 조사를 포함하여 109 페이지에 달하는 내용으로 준비 되었습니다.
연례 보안 보고서는 앞서 언급 한것과 같이 크게 두 부분으로 나누어 보실 수 있는데요, 먼저 탈로스에서 분석한 보안위협에 대한 통계부분은 다시 공격자(해커)의 행동과 방어자(보안팀,사용자)의 행동으로 나눠서 분석이 되어 있습니다. 그 뒷부분은 보안관리자의 설문 조사 결과를 정리 하고 있습니다.
회사의 보안팀 소속인 분들은 공격자의 행동을 통해 어떠한 유형의 공격들이 유행하는지에 대한 정보를 얻으시고, 이를 기반으로 방어자의 행동 부분에서는 시스코가 분석한 보안팀의 대응 형태와 문제점을 확인하셔서 보안위협에 대한 사전 대응의 화두를 얻으실 수 있습니다. 설문 및 통계를 통해 각 회사의 보안팀의 위협에 대한 회사의 대응과 경험들을 짚어보실 수 있습니다. 여기서는 설문 통계를 제외한 트렌드를 중점적으로 다루도록 하겠습니다.
보고서는 공격 범위(Attack Surface)의 확장이라는 화두로 시작합니다. 비즈니스의 디지털화와 IoT의 확산에 따른 공격 범위가 확장될 것이라 이야기 하고 있는 것이죠. 시스코 VNI(Visual Networking Indicator)에서는 구체적으로 2020년이되면 글로벌 IP 트래픽은 현재 보다 3배가 증가 될 것이라 예측하고 있습니다(참고로 증가되는 2020년의 트래픽량은 2005년의 트래픽 량의 95배). 특히, 무선트래픽이 66%정도의 대역폭을 차지하게 되어 유선단말을 통해 발생되는 트래픽량의 2배가 될것으로 예상되며, 앞으로는 무선단말과 IoT 단말에 대한 보안을 준비 해야함을 알려 드리고 있습니다.
공격자의 행동
공격자의 행동은 네가지 단계로 세분화 할 수 있는데요. 해킹업무(캠페인)를 준비하기 위한 사전 작업인 정찰, 이를 통한 어떠한 공격방법이 잘 통할것인지 준비하는 공격 수단 구축 단계, 그리고 멀웨어를 전송하는 단계, 마지막으로 백도어를 설치하는 설치 단계로 구분할 수 있습니다.
정찰단계에서 주로 사용되는 기법은 단연, 바이너리 파일이 1위를 차지하고 있습니다. 그러나, 페이스북 스캠링크를 통한방법과, VBS(Visual Basic Script)나 JS (Java Script)등의 스크립트를 통한 공격들도 상위에 랭크 되어 있습니다. 또 하나 관심있게 확인해야 하는 공격 트렌드로는 안드로이드 플랫폼에 대한 트로이목마 공격입니다.
공격수단구축 단계에서 주로 사용 되는 기법은 Adobe Flash에 대한 브라우저의 제작사들의 대응을 통해 Flash 공격을 주로 수행했던 Angler, Nuclear 익스플로이트 킷이 공격을 멈추게 되어 Flash 공격방법이 큰폭으로 감소 하게 되었고, Java나 Silverlight의 공격 방법도 많이 감소 한것으로 나와, 보안관리를 위해서는 회사 조직내에서 Flash나 Silverlight의 사용 금지를 고민해 보셔야겠습니다.
다른 위협 요소로는 내/외부 서비스를 연계하기 위한 인증(Oauth, SaaS 계정 연동)부분이 늘어나면서, 보안팀의 관심이 필요한 부분이 되었습니다. 이 방식을 이용하는 앱의 숫자가 1년 만에 두 배 정도로 늘어 난 것이 이를 뒷받침 하고 있습니다.
이제 공격자들이 준비된 공격을 위해 링크나, 이메일, 실행 파일들을 보내는 단계인 전송 단계입니다. 이 단계에서는 공격자들이 어떠한 익스플로이트 킷을 사용하는지가 결정되어 실행됩니다. 시스코 탈로스의 분석을 통해 시장에서 퇴출 당한 Angler와 Nuclear가 고객(?)을 이끄는 랜딩페이지 차단횟수는 줄어 들고 있음을 통해 이들 두 가지의 익스플로이트 킷은 더 이상 유행이 아님을 알수 있습니다. 다만 그 자리를 RIG, sundown 등의 Flash,Silverlight,MS IE의 취약점을 주로 사용하는 익스플로이트 킷이 대체 하고 있습니다.
이 부분에서는 보안 담당자들이 IE의 사용을 계속 허용해야 하는지하는 고민도 하실 수 있겠습니다만, 아직 ActiveX를 사용하는 국내의 일부 서비스 때문에 결정을 망설이시는 분도 계실 겁니다. 또한 유틸리티와 함께 설치되기도 하는 애드웨어를 통한 개인정보 유출과 내부 정보 유출도 계속 고민 거리입니다.
그리고 주목 해야하는 부분은 메일을 통한 공격입니다. 이메일은 해커들이 랜섬웨어등의 공격 캠페인을 운영하기 위해 가장 자주 선택하는 방법인데요, 지난해 분석 결과로는 전체 메일의 65%가 스팸이었고, 그 중 8~10%는 악성코드를 포함한 메일임이 밝혀 졌습니다. 글로벌한 피싱 이메일과 공격들이 상존한다는 사실이 CBL(composite Blocking List)의 기록으로 파악됩니다. 2015년에 차단되던 스팸발송 IP의 개수가 2016년 말에 들어서는 40만개까지 올라 갔습니다. 이는 최근 가장 낮았던 2015년 블록IP 의 10배에 달하는 수치 입니다.
이메일 보안이 계속 어려워지는 이유는 감지되기 전 한 곳에서 짧은 시간에 대량으로 스팸을 보내고 치고 빠지는 식의 헤일스톰과 스패머로 등록되지 않을 정도의 소량의 이메일을 적게 보내는 스노우슈 방법이 계속 사용되고 있기 때문에, CBL 유지하는 인텔리전스 업체의 역량이 필요한 부분입니다. 업체 보안 관리자 분들께서는 사용하고 계신 이메일 보안 점검을 권해드립니다.
마지막으로 설치단계에 자주 사용되는 기법의 트렌드 입니다. 이 부분에도 재미있는 부분이 있습니다. 공격자들은 대부분 향후 사용을 위해 명령을 받는 백도어가 포함된 멀웨어를 심어놓고 필요한 시간에 사용한다는 것인데요. 이를 파악하기 위해 각 보안 업체에서는 각각의 측정 방법을 내 놓고 있습니다. 시스코에서는 TTD(Time To Detection)시간을 주로 언급 합니다. 현재 탈로스가 월별로 정리하고 있는 TTD 시간은 14시간 입니다. 또한 멀웨어는 탐지를 피하기 위해 자신을 전송할 때 형태를 조금씩 변경하는 기능도 가지고 있습니다. 얼마나 자주 변경하는지를 파악할 수 있는 지표를 TTE(Time to Evolve)라고 하는데요. 최근 가장 유행하는 Locky 와 Nemucod는 최대 50형태로 감염자에게 전송되는 방법을 24시간 내에 변경하기도 합니다. 보안 관리자 분들의 고민을 더 깊게 만드는 부분이 아닐 수 없습니다.
방어자의 행동
방어자의 행동 부분은 각종 보안 통계로 방어자가 고민하여야 하는 부분을 간접적으로 다루었습니다. 여기에서 수치상으로 눈에 띄는 부분은 2015년 대비 알려지는 취약점의 수가 10% 내외로 줄어들었다는 것입니다. 하지만 여전히 외부에 공개되는 취약점의 수는 매월 700개 정도에 달합니다. 작은 규모의 보안팀을 운영하시는 곳에서는 여전히 완벽한 대응은 어려울 것이며, 이를 보안제품에 일부 일임 하셔야 할 것입니다.
서버의 취약점은 전년대비 34%가 증가해서 3,142개가 확인되었으며, 클라이언트 취약점과 네트워크 취약점은 약간의 감소가 있었습니다. 그리고 보고서는 주요 미들웨어(PDF Reader,MS office,압축 유틸리티 와 같은 어플리케이션)를 통한 공격이 많아 질것임을 예고 하고 있습니다. 이 두가지 추세만 확인하더라도, 쉽지만 좀 처럼 잘 해결되지 않는 “보안의 시작은 업데이트!”라는 명제가 중요함을 다시 한 번 더 확인시켜 주고 있습니다. 이를 확인하는 방법으로 보고서에는 보안 업데이트가 가장 자주 배포되었던 FireFox의 예를 들어 제조사의 패치는 활발하지만, 정작 사용자의 패치 업데이트는 한참 뒤늦게 적용 되고 있음을 분석을 통해 알려 주고 있습니다. 상황 파악은 쉽지만 업무의 연속성과, 범위의 선정 등의 이유로 패치 적용이 얼마나 쉽지 않은 일인지는 보안관계자 분들께서는 잘 알고 계실 것으로 생각합니다.
날로 증가하는 보안위협, 아무리 막아도 빈틈은 있을 것이라는 생각에 잠 못 드시겠지만 보안을 고민하시는 여러분들이 계시기 때문에, 산업이 유지되고 나아가 사회가 유지되고 있음을 자랑스럽게 생각합니다.
*시스코 2017 연례 보안 보고서는 여기에서 받으실 수 있습니다.
시스코 전문가 칼럼으로 최신 IT 트렌드를 알아보세요! | 이 글은 시스코 코리아 보안 스페셜리스트 황성규 부장이 작성한 칼럼입니다. |
